В преддверии зимних отпусков Роскачество оценило наиболее популярные в Рунете сайты билетных агентств, которые осуществляют продажу авиабилетов онлайн.

По данным Data Insight, рынок онлайн-продаж туристических услуг в России вырос в 10 раз за шесть лет. На авиабилеты приходится половина денег туристического рынка. При этом все больше людей уходят в интернет за билетами. Центр цифровой экспертизы Роскачества считает важным объяснить потребителям, каким интернет-магазинам можно доверять и на что обращать внимание при совершении онлайн-покупок. В реестре доверенных сайтов онлайн-магазинов первая исследованная категория – билетные агентства. Всего исследовано 40 интернет-ресурсов, предоставляющих информацию на русском языке.

Испытания проводились по 19 критериям. За каждое несоответствие стандарту у сайта от оценки отнималось определенное количество баллов. При этом нули по наиболее важным критериям обнуляли весь рейтинг сайта. Среди таких критически важных критериев – наличие протокола HTTPS и сертификата безопасности SSL, платежного шлюза PCI DSS, политики в отношении обработки персональных данных, отсутствие приема платежей посредством перевода с карты на карты или на счет электронного кошелька и другие.

Рассмотрим критерии и вытекающие из них советы подробно.

ДОМЕННОЕ ИМЯ

Сайт любого интернет-магазина должен иметь уникальное доменное имя (адрес сайта), не вводящее пользователей в заблуждение. Иными словами, в доменном имени должны отсутствовать явная ассоциация и подражание другим доменным именам известных сайтов. Например, среди мошеннических и уже заблокированных сайтов – 0zon-travel.online (вместо первой буквы «o» цифра 0) или kupibilet1.com, которые не имеют отношения к сайтам одноименных агентств ozon.travel и kupibilet.ru.

Схожее доменное имя – первый признак фишинга. Это вид интернет-мошенничества, при котором злоумышленники создают максимально похожую копию известного сайта и тем самым вводят пользователей в заблуждение и либо похищают их конфиденциальные данные, в том числе логин и пароль, либо продают несуществующие товары и услуги от лица известного магазина.

Все популярные сайты, проверенные Роскачеством, имеют уникальные доменные имена.

ФИРМЕННОЕ НАЗВАНИЕ И ДИЗАЙН

Аналогично уникальному доменному имени интернет-магазин должен иметь уникальное фирменное название и дизайн, которые не вводят пользователей в заблуждение: отсутствует прямая ассоциация и подражание другим интернет-магазинам. Все проверенные сайты билетных агентств имеют уникальное название и дизайн.

Покупая в интернете, важно всегда быть предельно внимательным и проверять адрес сайта в адресной строке. Ведь может оказаться, что знакомый интернет-магазин в привычном дизайне является на самом деле искусной копией, созданной злоумышленниками, желающими получить ваши деньги.

ДАТА РЕГИСТРАЦИИ ДОМЕНА

Согласно данному критерию домен сайта интернет-магазина должен быть зарегистрирован более двух месяцев назад. Дело в том, что мошенники зачастую используют для фишинга «сайты-однодневки», которые редко существуют больше нескольких дней. Поэтому чем сайт моложе, тем выше риск его использования в мошеннических схемах. Если со дня регистрации домена прошло меньше двух недель, стоит отказаться от покупки билетов на этом сайте. Проверить самостоятельно дату регистрации можно с помощью Whois-сервисов.

В исследовании билетных агентств все оцениваемые сайты соответствуют данному критерию.

ПРОТОКОЛ HTTPS И СЕРТИФИКАТ БЕЗОПАСНОСТИ

Критерии не меньшей важности – использование протокола HTTPS и наличие действующего сертификата безопасности.

Протокол HTTPS обеспечивает безопасное зашифрованное соединение браузера с сервером. Это особенно важно при пересылке конфиденциальной информации, например регистрационных и паспортных данных. А сертификат безопасности идентифицирует сами серверы. По сути, он является цифровой подписью сайта, подтверждает его подлинность. Сертификат показывает, что вы подключены именно к тому веб-сайту, адрес которого отображается в адресной строке браузера, соединение не перехвачено и зашифровано в целях противодействия прослушиванию и так называемой атаке «Человек посередине» (Man-in-the-Middle).

Об использовании безопасного протокола и наличии SSL-сертификата свидетельствуют символы HTTPS и изображение «замочка» в адресной строке. Если символов нет, никогда не вводите на сайте свои персональные данные! Это особенно опасно при подключении к публичным Wi-Fi-сетям (например, в отелях, ресторанах, транспорте и т. д.). Злоумышленник может создать сеть с похожим названием, и жертва по ошибке подключится именно к ней, направляя хакеру свои данные. Или же сеть действительно может принадлежать кафе или отелю – в этом случае злоумышленник сможет подключиться к ней и осуществить перехват данных посредством атаки Man-in-the-Middle. Если же использование публичной Wi-Fi-сети необходимо, воспользуйтесь платным VPN-сервисом, чтобы минимизировать риск перехвата данных.

Используют протокол HTTPS и имеют сертификат безопасности 39 из 40 исследованных сайтов билетных агентств. Сайт bilet-inet.ru – единственный ресурс, не соответствующий данному требованию. В связи с этим его оценка была обнулена. Роскачество не рекомендует данный сайт для использования.

ПЛАТЕЖНЫЙ ШЛЮЗ

Оплата онлайн должна осуществляться через платежный шлюз, соответствующий стандарту безопасности данных индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard). Этот стандарт представляет собой совокупность 12 групп требований по обеспечению безопасности передающихся, хранящихся и обрабатывающихся в информационных инфраструктурах организаций данных о держателях платежных карт.

По результатам проверки все оцениваемые сайты используют для оплаты платежные шлюзы, сертифицированные PCI DSS.

ИНФОРМАЦИЯ О ПРОДАВЦЕ

Согласно стандарту Российской системы качества, интернет-магазины должны указывать на своих сайтах наименование организации, юридический адрес, регистрационный номер о создании юридического лица (ОГРН/ОГРНИП – для российских агентств) или ИНН, а также контактные данные.

Наличие на сайте магазина ИНН или ОГРН позволяет проверить на портале Федеральной налоговой службы, зарегистрирована и существует ли на данный момент организация, осуществляющая онлайн-продажи, и снижает риск совершить покупку у мошенников.

Что касается контактных данных, то на сайте должны быть размещены адрес электронной почты (или форма обратной связи) и актуальный контактный номер телефона, имеющий формат с кодом города и/или многоканальный (8-800) тип. При этом, согласно критерию, поддержка пользователей должна осуществляться на русском языке. Мобильные номера в исследовании не учитывались, так как зачастую на мошеннических сайтах размещаются именно они. При этом специалистами совершались контрольные звонки, чтобы убедиться в работоспособности и принадлежности номера телефона, указанного на сайте, проверяемому агентству.

По результатам исследования, успешно прошли проверку на наличие наименования организации, юридического адреса и электронной почты (формы обратной связи) все билетные агентства. Что касается контактного номера, то у двух из 40 ресурсов он отсутствует (у Clickavia.ru и Kiwi.com имеется только форма обратной связи и помощь в чатах, в связи с этим баллы агентств были снижены), а до оператора агентства Superkassa.ru дозвониться не удалось. ИНН и ОГРН отсутствовали на одном проверенном ресурсе – bilet-on-line.ru.

Информация о режиме работы билетного агентства (call-центр, претензионный отдел и пр.) была размещена на всех проверенных ресурсах.

Для удобства потребителей на портале Роскачества в «карточке» каждого сайта указаны контактный телефон агентства, дата регистрации его домена и юридический адрес, позволяющий определить страну, в которой зарегистрировано юридическое лицо.

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СОГЛАСИЕ НА ОБРАБОТКУ

Наличие на сайте документа, определяющего политику в отношении обработки персональных данных, предоставляет возможность пользователю ознакомиться с целями сбора его персональных данных, их перечнем, списком действий с персональными данными и другими положениями. Отсутствие политики конфиденциальности является нарушением Федерального закона 152-ФЗ «О персональных данных» (ч. 2 ст. 18.1).

Все без исключения проверенные сайты имеют документы, определяющие политику в отношении обработки персональных данных, однако согласие пользователей на обработку персональных данных при регистрации новых пользователей не запрашивают сайты Booking.Coral.ru, City.Travel и Razlet.ru.

ПРИЕМ ПЛАТЕЖЕЙ

Для приема платежей от покупателей интернет-магазин не должен использовать переводы с карты на карту или на электронные кошельки. Это еще один важный признак, по которому можно выявить потенциально мошеннический сайт. Дело в том, что при переводе с карты на карту клиент не получит кассовый чек, подтверждающий оплату конкретных товаров или услуг.

По результатам проверки все билетные агентства соответствуют данному требованию.

ИНФОРМАЦИЯ ОБ ОПЛАТЕ

Также на сайте билетного агентства (и любого интернет-магазина) должна присутствовать информация о способах и процессе оплаты. В случае наличия информации обо всех доступных способах оплаты авиабилетов пользователь может выбрать наиболее удобный для себя и понять, как оплатить услуги агентства.

Информация об оплате присутствует на всех сайтах билетных агентств.

ОТСУТСТВИЕ РЕКЛАМЫ

Еще один признак, по которому можно выявить потенциально небезопасный ресурс, – большое количество рекламных материалов, ведущих на сторонние веб-сайты, не относящиеся к билетному агентству. В связи с этим специалисты снижали оценку билетного агентства на полбалла, если он не удовлетворял данному критерию. При этом реклама продуктов или услуг, продаваемых на сайте проверяемого билетного агентства, не учитывалась (оценки за нее не снижались).

Данному критерию удовлетворяют 38 из 40 сайтов (все, кроме Biletdv.ru и Biletik.aero).

КОРРЕКТНОСТЬ ССЫЛОК

Последний критерий, который может выявить мошеннические сайты или сайты-двойники, сделанные на скорую руку, – «битые» и неработающие ссылки. Если часть ссылок не открываются или ведут на «страницы-заглушки» – это повод насторожиться и воздержаться от покупки на этом сайте. Впрочем, все проверенные билетные агентства таких проблем не имеют.

ВЫВОДЫ

По результатам исследования 5 баллов получили 30 сайтов билетных агентств. Они признаны безопасными, и им можно доверять при покупке авиабилетов. В перспективе все эти сайты смогут разместить соответствующий рейтинг у себя на портале.